{"id":1222,"date":"2026-02-13T18:30:53","date_gmt":"2026-02-13T17:30:53","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/dora-article-28-red-flags-common-third-party-risk-failures-in-ci-cd-2\/"},"modified":"2026-03-26T00:09:28","modified_gmt":"2026-03-25T23:09:28","slug":"dora-article-28-red-flags-common-third-party-risk-failures-in-ci-cd","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/ci-cd-governance\/dora-article-28-red-flags-common-third-party-risk-failures-in-ci-cd\/","title":{"rendered":"DORA Article 28 : Signaux d’alerte \u2014 D\u00e9faillances courantes des risques tiers dans les pipelines CI\/CD"},"content":{"rendered":"\n

Les manquements au titre de DORA Article 28 proviennent rarement de politiques absentes.<\/p>\n\n\n\n

Ils proviennent de faiblesses cach\u00e9es dans les pipelines CI\/CD d\u00e9pendant de tiers<\/strong> qui ne se r\u00e9v\u00e8lent que lors d’audits ou d’incidents.<\/p>\n\n\n\n

Les auditeurs recherchent des signaux d’alerte<\/strong> \u2014 des indices que le risque ICT li\u00e9 aux tiers est non g\u00e9r\u00e9, non appliqu\u00e9 ou non \u00e9tay\u00e9 par des preuves.<\/p>\n\n\n\n

Les plateformes CI\/CD sont une source fr\u00e9quente de telles constatations car elles combinent services externes, ex\u00e9cution privil\u00e9gi\u00e9e et automatisation<\/strong>.<\/p>\n\n\n\n

Cet article met en lumi\u00e8re les signaux d’alerte les plus courants li\u00e9s \u00e0 l’Article 28 concernant les pipelines CI\/CD<\/strong>, leur importance et la mani\u00e8re dont les auditeurs les interpr\u00e8tent.<\/p>\n\n\n\n\n

\n\n CI\/CD Red Flags \u2014 DORA Article 28 (Third-Party Risk)<\/title>\n \n Enterprise CI\/CD diagram highlighting common DORA Article 28 third-party risk red flags:\n missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights,\n and missing evidence retention.\n <\/desc>\n\n